信息安全審計(jì)培訓(xùn)教材

信息安全審計(jì)培訓(xùn)教材一、黑客攻擊與安全審計(jì)黑客簡介黑客的定義黑客（Hacker）的定義：非法搜索和滲透計(jì)算機(jī)網(wǎng)絡(luò)，訪問和使用數(shù)據(jù)的人。根據(jù)黑客的態(tài)度和動(dòng)機(jī)來給黑客分類，可分為下列3類：偶然的破壞者：堅(jiān)定的破壞者：間諜和工業(yè)偵探：黑客的動(dòng)機(jī)黑客的動(dòng)機(jī)表明了入侵的目的，從而有助于安全專家更好地評(píng)估系統(tǒng)的危險(xiǎn)性。挑戰(zhàn)貪婪惡意安全審計(jì)什么是安全審計(jì)人員？安全審計(jì)人員是進(jìn)行風(fēng)險(xiǎn)評(píng)估的個(gè)體。作為一名審計(jì)人員，你的職責(zé)是通過對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行評(píng)估，從而提出有效的安全解決方案。一個(gè)合格的審計(jì)人員應(yīng)該從兩個(gè)角度來分析網(wǎng)絡(luò)：從黑客的角度進(jìn)行思考，尋找現(xiàn)有網(wǎng)絡(luò)的漏洞，對(duì)網(wǎng)絡(luò)資源加以保護(hù)；從雇員和管理者的角度進(jìn)行思考，尋找最佳途徑既可保障安全又不影響商業(yè)運(yùn)作效率。安全審計(jì)人員的工作安全審計(jì)人員采用兩種方式來達(dá)到一個(gè)高的安全等級(jí)：抱怨分析和風(fēng)險(xiǎn)分析。首先他們幫助網(wǎng)絡(luò)管理人員了解用戶的抱怨，制定一致性的安全策略。容易出現(xiàn)的問題是網(wǎng)管和安全專家所制定的可靠的安全策略只有用戶在抵制它。其次是進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定哪些服務(wù)器是公司最重要的服務(wù)器，哪些最需要保護(hù)的資源。審計(jì)人員的職責(zé)和前瞻性作為一名審計(jì)人員，應(yīng)該至少從兩個(gè)角度來對(duì)待網(wǎng)絡(luò)：從安全管理者的角度和從顧問的角度考慮。從黑客角度審計(jì)人員最初不了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、服務(wù)、協(xié)議和操作的情況，此時(shí)從一個(gè)不了解內(nèi)情的黑客角度來偵查、滲透和試圖控制網(wǎng)絡(luò)。從知情的審計(jì)者的角度第二類審計(jì)人員是從一個(gè)內(nèi)部知情人的角度來評(píng)估網(wǎng)絡(luò)安全。多數(shù)情況下，審計(jì)人員會(huì)合并這兩種角度來提供更深層次的審計(jì)。黑客攻擊過程在實(shí)施審計(jì)的時(shí)候，你將嘗試采取一些黑客的行為：試圖偵查、滲透和控制網(wǎng)絡(luò)系統(tǒng)。這三個(gè)步驟是作為一名黑客和安全審計(jì)人員進(jìn)行的重要階段。偵查階段在偵查階段，你將掃描和測試系統(tǒng)的有效安全性。對(duì)網(wǎng)絡(luò)進(jìn)行偵查意味著要定位出網(wǎng)絡(luò)資源的具體情況，包括IP地址、開放端口、網(wǎng)絡(luò)拓?fù)涞?。這種分析工作通常需要大量的時(shí)間，我們可以使用自動(dòng)運(yùn)行的掃描程序。滲透階段滲透意味著你能繞過安全控制機(jī)制，如登錄賬號(hào)和密碼。你還可以通過使加密機(jī)制無效從而破壞數(shù)據(jù)的機(jī)密性和完整性。你還可以是網(wǎng)絡(luò)拒絕提供服務(wù)?？刂齐A段控制意味著可以隨心所欲的管理網(wǎng)絡(luò)和主機(jī)。審計(jì)人員從不試圖控制網(wǎng)絡(luò)主機(jī)，只是通過演示他可以控制網(wǎng)絡(luò)主機(jī)來證明現(xiàn)有網(wǎng)絡(luò)存在的問題。你將發(fā)現(xiàn)，控制表明一個(gè)黑客可以控制網(wǎng)絡(luò)資源，創(chuàng)建賬號(hào)，修改日志，行使管理員的權(quán)限。二、偵查手段和工具黑客和安全審計(jì)人員采取的第一步都是偵查網(wǎng)絡(luò)。在本節(jié)中，你將接觸一些網(wǎng)絡(luò)偵查工具和方法。安全掃描DNS工具Whois命令Whois命令通常是安全審計(jì)人員了解網(wǎng)絡(luò)情況的開始。一旦你得到了Whois記錄，從查詢的結(jié)果還可得知Primary和Secondary域名服務(wù)器的信息。Lab12-1演示W(wǎng)hois工具的使用，Web網(wǎng)站W(wǎng)hois工具的使用Nslookup命令使用DNS的排錯(cuò)工具nslookup，你可以利用從Whois查詢到的信息偵查更多的網(wǎng)絡(luò)情況。Ping掃描和使用TraceroutePing掃描軟件Ping掃描程序?qū)⒆詣?dòng)掃描你所指定的IP地址范圍。Traceroute命令Traceroute用于路由追蹤，如判斷從你的主機(jī)到目標(biāo)主機(jī)經(jīng)過哪些路由器、跳計(jì)數(shù)、響應(yīng)時(shí)間如何、是否有路由器宕機(jī)等。Lab12-2Ping掃描軟件的使用，Tracert命令的使用端口掃描端口掃描軟件端口掃描器是黑客最常使用的工具。一些單獨(dú)使用的端口掃描工具像PortScanner，定義好IP地址范圍和端口后便可開始實(shí)施掃描。許多工具也集成了端口掃描器。Lab12-3用PingPro執(zhí)行Ping掃描和端口掃描；網(wǎng)絡(luò)偵查和服務(wù)器偵查程序有一些更復(fù)雜的工具可以識(shí)別更多的網(wǎng)絡(luò)和服務(wù)類型的程序。例如NMAP是UNIX下的掃描工具，它可以識(shí)別不同操作系統(tǒng)在處理TCP/IP協(xié)議上細(xì)微的差別。服務(wù)掃描RedButton可以從Windows2000服務(wù)器上獲得信息。Lab12-5演示RedButton堆棧指紋識(shí)別和操作系統(tǒng)檢測利用堆棧指紋技術(shù)允許你利用TCP/IP來識(shí)別不同的操作系統(tǒng)和服務(wù)。各個(gè)廠商和系統(tǒng)處理TCP／IP協(xié)議的特征是管理員所難以更改的。許多審計(jì)人員和黑客記錄下這些TCP/IP應(yīng)用的細(xì)微差別，并針對(duì)各種系統(tǒng)構(gòu)建了堆棧指紋表。NMAP由于功能強(qiáng)大、不斷升級(jí)和免費(fèi)的原因十分流行。它對(duì)網(wǎng)絡(luò)的偵查十分有效。使用Telnet你可以Telnet至HTTP端口。在連接一段時(shí)間內(nèi)若沒有任何動(dòng)作，服務(wù)器會(huì)因?yàn)闊o法識(shí)別這次連接而自動(dòng)切斷。但是你通常可以從HTTP服務(wù)器上得到一些信息。Lab12-6演示Telnet企業(yè)級(jí)的審計(jì)工具企業(yè)級(jí)的審計(jì)程序用以其人之道還制其人之身的方式來對(duì)付黑客，通過對(duì)網(wǎng)絡(luò)進(jìn)行綜合的攻擊使你可以實(shí)時(shí)地檢測到網(wǎng)絡(luò)的漏洞，并加以改進(jìn)。協(xié)議及操作系統(tǒng)的支持掃描級(jí)別配置文件和策略報(bào)告功能常見的弱點(diǎn)掃描器SymantecNetReconISSInternetScanner其他掃描器如：EeyeRetina（）；Lab12-7部署EeyeRetina4.0社會(huì)工程作為安全管理人員你不應(yīng)低估社會(huì)工程的威脅。作為安全審計(jì)人員，你也不應(yīng)在偵查工具和技巧中漏掉社會(huì)工程。電話訪問E-mail詐騙教育作為安全管理人員，避免員工成為偵查工具的最好方法是對(duì)他們進(jìn)行教育。通過提高員工對(duì)設(shè)備的認(rèn)識(shí)和增強(qiáng)他們的責(zé)任感，可以使他們變得更難于被黑客控制。獲得信息作為安全審計(jì)人員，你可以把信息分成網(wǎng)絡(luò)級(jí)別和主機(jī)級(jí)別的信息。網(wǎng)絡(luò)級(jí)別的信息下表中列出了你需要獲得的有價(jià)值的網(wǎng)絡(luò)級(jí)別的信息。網(wǎng)絡(luò)拓?fù)渎酚善骱徒粨Q機(jī)防火墻種類IP服務(wù)Modem池主機(jī)級(jí)別的信息下表列舉了一些更有價(jià)值的主機(jī)級(jí)別的信息：活動(dòng)端口數(shù)據(jù)庫服務(wù)器近年來，許多成功的黑客都和用了大量的業(yè)余時(shí)間。他們閱讀了大量的文獻(xiàn)，研究系統(tǒng)的缺省設(shè)置和內(nèi)置的漏洞。無論你是安全管理大員還是安全審計(jì)大員，都應(yīng)該盡可能地多掌握產(chǎn)品的情況。三、服務(wù)器滲透和攻擊技術(shù)審計(jì)一旦黑客定位了你的網(wǎng)絡(luò)，他通常會(huì)選定一個(gè)目標(biāo)進(jìn)行滲透。通常這個(gè)目標(biāo)會(huì)是安全漏洞最多或是他擁有最多攻擊工具的主機(jī)。容易遭受攻擊的目標(biāo)最常遭受攻擊的目標(biāo)包括路由器、數(shù)據(jù)庫、Web和FTP服務(wù)器，和與協(xié)議相關(guān)的服務(wù)，如DNS、WINS和SMB。路由器連接公網(wǎng)的路由器由于被暴露在外，通常成為被攻擊的對(duì)象。許多路由器為便于管理使用SNMP協(xié)議，尤其是SNMPv1，成為潛在的問題。許多網(wǎng)絡(luò)管理員未關(guān)閉或加密Telnet會(huì)話，若明文傳輸?shù)目诹畋唤厝?，黑客就可以重新配置路由器，這種配置包括關(guān)閉接口，重新配置路由跳計(jì)數(shù)等等。物理安全同樣值得考慮，必須保證路由器不能被外人物理接觸到進(jìn)行終端會(huì)話。過濾Telnet為了避免未授權(quán)的路由器訪問，你應(yīng)利用防火墻過濾掉路由器外網(wǎng)的telnet端口和SNMP[161，162]端口?；蛟谂渲猛曷酚善骱髮elnet服務(wù)禁止掉，因?yàn)槁酚善鞑⒉恍枰^多的維護(hù)工作。如果需要額外的配置，你可以建立物理連接。數(shù)據(jù)庫黑客最想得到的是公司或部門的數(shù)據(jù)庫?，F(xiàn)在公司普遍將重要數(shù)據(jù)存儲(chǔ)在關(guān)系型或面向?qū)ο蟮臄?shù)據(jù)庫中，這些信息包括：雇員數(shù)據(jù)，如個(gè)人信息和薪金情況；市場和銷售情況；重要的研發(fā)信息；貨運(yùn)情況等。黑客可以識(shí)別并攻擊數(shù)據(jù)庫。每種數(shù)據(jù)庫都有它的特征。如SQLServer使用1433/1434端口，你應(yīng)該確保防火墻能夠?qū)υ摲N數(shù)據(jù)庫進(jìn)行保護(hù)。Web和FTP服務(wù)器安全WEB和FTP這兩種服務(wù)器通常置于DMZ，無法得到防火墻的完全保護(hù)，所以也特別容易遭到攻擊。Web和FTP服務(wù)通常存在的問題包括：用戶通過公網(wǎng)發(fā)送未加密的信息；操作系統(tǒng)和服務(wù)存在眾所周知的漏洞導(dǎo)致拒絕服務(wù)攻擊或破壞系統(tǒng)；舊有操作系統(tǒng)中以root權(quán)限初始運(yùn)行的服務(wù)，一旦被黑客破壞，入侵者便可以在產(chǎn)生的命令解釋器中運(yùn)行任意的代碼。郵件服務(wù)廣泛使用的SMTP、POP3和IMAP4一般用明文方式進(jìn)行通信。這種服務(wù)可以通過加密進(jìn)行驗(yàn)證但是在實(shí)際應(yīng)用中通信的效率不高。由于大多數(shù)人對(duì)多種服務(wù)使用相同的密碼，攻擊者可以利用嗅探器得到用戶名和密碼，再和用它攻擊其它的資源，例如Windows2000服務(wù)器。與郵件服務(wù)相關(guān)的問題包括：利用字典和暴力攻擊POP3的loginshell；在一些版本中Sendmail存在緩沖區(qū)溢出和其它漏洞；利用E-mail的轉(zhuǎn)發(fā)功能轉(zhuǎn)發(fā)大量的垃圾信件。名稱服務(wù)攻擊者通常把攻擊焦點(diǎn)集中在DNS服務(wù)上。DNS服務(wù)器經(jīng)常暴露在外，使它成為攻擊的目標(biāo)。DNS攻擊包括：未授權(quán)的區(qū)域傳輸；DNS毒藥，這種攻擊是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的DNS信息，一旦成功，攻擊者便可以使輔DNS服務(wù)器提供錯(cuò)誤的名稱到IP地址的解析信息；拒絕服務(wù)攻擊；審計(jì)系統(tǒng)BUG作為安全管理者和審計(jì)人員，你需要對(duì)由操作系統(tǒng)產(chǎn)生的漏洞和可以利用的軟件做到心中有數(shù)審計(jì)TrapDoor和RootKitRootkit是用木馬替代合法程序。TrapDoor是系統(tǒng)上的bug，當(dāng)執(zhí)行合法程序時(shí)卻產(chǎn)生了非預(yù)期的結(jié)果。如老版本的UNIXSendmail，在執(zhí)行debug命令時(shí)允許用戶以root權(quán)限執(zhí)行腳本代碼，一個(gè)受到嚴(yán)格權(quán)限控制的用戶可以很輕易的添加用戶賬號(hào)。審計(jì)后門程序通常，在服務(wù)器上運(yùn)行的操作系統(tǒng)和程序都存在代碼上的漏洞。后門也指在操作系統(tǒng)或程序中未記錄的入口。程序設(shè)計(jì)人員為了便于快速進(jìn)行產(chǎn)品支持有意在系統(tǒng)或程序中留下入口。不同于bug，這種后門是由設(shè)計(jì)者有意留下的。審計(jì)拒絕服務(wù)攻擊防范拒絕服務(wù)攻擊你可以通過以下方法來減小拒絕服務(wù)攻擊的危害：加強(qiáng)操作系統(tǒng)的補(bǔ)丁等級(jí)。如果有雇員建立特定的程序，特別留意代碼的產(chǎn)生過程。只使用穩(wěn)定版本的服務(wù)和程序。審計(jì)非法服務(wù)，特洛伊木馬和蠕蟲非法服務(wù)開啟一個(gè)秘密的端口，提供未經(jīng)許可的服務(wù)，常見的非法服務(wù)包括：NetBusBackOrifice和BackOrifice2000Girlfriend冰河2.X秘密的建立共享的程序特洛伊木馬特洛伊木馬是在執(zhí)行看似正常的程序時(shí)還同時(shí)運(yùn)行了未被察覺的有破壞性的程序。木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者。審計(jì)木馬掃描開放端門是審計(jì)木馬攻擊的途徑之一。如果你無法說明一個(gè)開放端口用途，你也許就檢測到一個(gè)問題。蠕蟲Melissa病毒向我們展示了TCP/IP網(wǎng)絡(luò)是如何容易遭受蠕蟲攻擊的。在你審計(jì)系統(tǒng)時(shí)，通常需要配置防火墻來排除特殊的活動(dòng)，在防火墻上過濾那些從不信任的網(wǎng)絡(luò)來的數(shù)據(jù)包和端口。結(jié)合所有攻擊定制審計(jì)策略攻擊者有兩個(gè)共同的特點(diǎn)。首先，他們將好幾種不同的方法和策略集中到一次攻擊中。其次，他們在一次攻擊中和用好幾種系統(tǒng)，綜合應(yīng)用攻擊策略可以增強(qiáng)攻擊的成功率，同時(shí)利用好幾種系統(tǒng)使他們更不容易被捕獲。滲透策略物理接觸如果攻擊者能夠物理接觸操作系統(tǒng)，他們便可以通過安裝和執(zhí)行程序來使驗(yàn)證機(jī)制無效。操作系統(tǒng)策略較弱的密碼策略較弱的系統(tǒng)安全策略審計(jì)文件系統(tǒng)漏洞Lab12-8：使用WINNTAutoAttack攻擊Windows服務(wù)器控制階段的安全審計(jì)一旦攻擊者成功地滲透進(jìn)你的系統(tǒng)，他會(huì)立即試圖控制它。在這一階段的目標(biāo)包括：獲得root的權(quán)限收集信息開啟新的安全漏洞擦除滲透痕跡攻擊其他系統(tǒng)如果攻擊者成功地進(jìn)行到這一階段，通常就很難被發(fā)覺了，應(yīng)該在滲透階段阻止他們的攻擊行為。獲得root的權(quán)限攻擊者最終目的是獲得root的權(quán)限。攻擊者會(huì)采用許多不同的策略來獲得這一權(quán)限，包括前門課程中討論的各種手段。創(chuàng)建額外賬號(hào)為了減小從系統(tǒng)中被清除的幾率，攻擊者通常會(huì)在獲得root權(quán)限后創(chuàng)建額外的賬號(hào)。審計(jì)這種控制手段的方法是查看哪些沒有填寫完整的用戶賬號(hào)。例如，上面的批處理文件并沒有在域中加入任何描述性的語句。獲得信息一旦攻擊者獲得root的權(quán)限，他將立即掃描服務(wù)器的存儲(chǔ)信息。例如，在人力資源數(shù)據(jù)庫中的文件，支付賬目數(shù)據(jù)庫和屬于上層管理的終端用戶系統(tǒng)。審計(jì)UNIX文件系統(tǒng)Rootkit充斥在互聯(lián)網(wǎng)上，很難察覺并清除它們。審計(jì)這類程序的最好方法是檢查象1s，su和ps等命令在執(zhí)行時(shí)是否正常。大多數(shù)替代Rootkit的程序運(yùn)行異常，或者有不同的文件大小。審計(jì)Windows2000文件系統(tǒng)下表列出了在Windows2000中通常文件的存放位置：見8表所示。信息重定向一旦攻擊者控制了系統(tǒng)，他便可以進(jìn)行程序和端口轉(zhuǎn)向。端口轉(zhuǎn)向成功后，他們可以操控連接并獲得有價(jià)值的信息。例如，有些攻擊者會(huì)禁止像FTP的服務(wù)，然后把FTP的端口指向另一臺(tái)計(jì)算機(jī)。那臺(tái)計(jì)算機(jī)會(huì)收到所有原來那臺(tái)主機(jī)的連接和文件。創(chuàng)建新的訪問點(diǎn)通過安裝額外的軟件和更改系統(tǒng)參數(shù)，攻擊者還可